Globální klient zabezpečeného přístupu pro Windows
Klient globálního zabezpečeného přístupu, základní komponenta globálního zabezpečeného přístupu, pomáhá organizacím spravovat a zabezpečit síťový provoz na zařízeních koncových uživatelů. Hlavní rolí klienta je směrování provozu, které musí být zabezpečeno globálním zabezpečeným přístupem do cloudové služby. Veškerý ostatní provoz směřuje přímo do sítě. Profily předávání nakonfigurované na portálu určují, který provoz klient globálního zabezpečeného přístupu směruje do cloudové služby.
Tento článek popisuje, jak stáhnout a nainstalovat klienta globálního zabezpečeného přístupu pro Windows.
Požadavky
- Tenant Entra je onboardovaný do globálního zabezpečeného přístupu.
- Spravované zařízení připojené k připojenému tenantovi. Zařízení musí být buď připojené k Microsoft Entra, nebo hybridní připojení Microsoft Entra.
- Registrovaná zařízení Microsoft Entra se nepodporují.
- Klient globálního zabezpečeného přístupu vyžaduje 64bitové verze Windows 10 nebo Windows 11.
- Podporuje se jednoúčelová relace Azure Virtual Desktopu.
- Azure Virtual Desktop multi-session se nepodporuje.
- Podporuje se Windows 365.
- K instalaci nebo upgradu klienta se vyžadují přihlašovací údaje místního správce.
- Globální klient zabezpečeného přístupu vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
Stáhnout klienta
Nejnovější verze klienta globálního zabezpečeného přístupu je k dispozici ke stažení z Centra pro správu Microsoft Entra.
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
- Přejděte ke stažení klienta Global Secure Access>Connect>.
- Vyberte Stáhnout klienta.
Instalace klienta globálního zabezpečeného přístupu
Automatizovaná instalace
Organizace můžou klienta globálního zabezpečeného /quiet přístupu nainstalovat bezobslužně s přepínačem nebo používat řešení mobilních Správa zařízení (MDM), jako je Microsoft Intune, k nasazení klienta do svých zařízení.
Ruční instalace
Ruční instalace klienta globálního zabezpečeného přístupu:
- Spusťte instalační soubor GlobalSecureAccessClient.exe. Přijměte licenční podmínky pro software.
- Klient vás nainstaluje a tiše přihlásí pomocí svých přihlašovacích údajů Microsoft Entra. Pokud se tiché přihlášení nezdaří, instalační program vás vyzve, abyste se přihlásili ručně.
- Přihlášení. Ikona připojení se změní na zelenou.
- Najeďte myší na ikonu připojení a otevřete oznámení o stavu klienta, které by se mělo zobrazit jako Připojeno.
Akce klienta
Pokud chcete zobrazit dostupné akce nabídky klienta, klikněte pravým tlačítkem myši na ikonu hlavního panelu systému Global Secure Access.
Tip
Akce nabídky klienta globálního zabezpečeného přístupu se budou lišit v závislosti na konfiguraci klíčů registru klienta.
| Akce | Popis |
|---|---|
| Odhlásit se | Ve výchozím nastavení je skrytý. Akci Odhlásit se použijte, když se potřebujete přihlásit ke klientovi globálního zabezpečeného přístupu s jiným uživatelem Entra, než který se používá k přihlášení do Windows. Chcete-li tuto akci zpřístupnit, aktualizujte příslušné klíče registru klienta. |
| Pozastavení | Výběrem akce Pozastavit dočasně pozastavíte klienta. Klient zůstane pozastavený, dokud neobnovíte klienta nebo restartujete počítač. |
| Resume | Obnoví pozastaveného klienta. |
| Zakázání privátního přístupu | Ve výchozím nastavení je skrytý. Akci Zakázat privátní přístup použijte, pokud chcete obejít globální zabezpečený přístup při každém připojení zařízení přímo k podnikové síti pro přístup k privátním aplikacím přímo přes síť, nikoli prostřednictvím globálního zabezpečeného přístupu. Chcete-li tuto akci zpřístupnit, aktualizujte příslušné klíče registru klienta. |
| Shromáždění protokolů | Tuto akci vyberte, pokud chcete shromažďovat protokoly klienta (informace o klientském počítači, související protokoly událostí pro služby a hodnoty registru) a archivovat je do souboru ZIP, který chcete sdílet s podpora Microsoftu pro šetření. Výchozí umístění protokolů je C:\Program Files\Global Secure Access Client\Logs. |
| Pokročilá diagnostika | Tuto akci vyberte, pokud chcete spustit nástroj Advanced Diagnostics a získat přístup k široké škále nástrojů pro řešení potíží. |
Indikátory stavu klienta
Oznámení o stavu
Poklikáním na ikonu Globální zabezpečený přístup otevřete oznámení o stavu klienta a zobrazte stav každého kanálu nakonfigurovaného pro klienta.
Stav klienta v ikoně na hlavním panelu systému
| Ikona | Message | Popis |
|---|---|---|
|
Globální klient zabezpečeného přístupu | Klient inicializuje a kontroluje připojení ke globálnímu zabezpečenému přístupu. |
|
Globální klient zabezpečeného přístupu – připojeno | Klient je připojený ke globálnímu zabezpečenému přístupu. |
|
Globální klient zabezpečeného přístupu – Zakázáno | Klient je zakázán, protože služby jsou offline nebo uživatel zakázal klienta. |
|
Globální klient zabezpečeného přístupu – Odpojeno | Klientovi se nepodařilo připojit ke globálnímu zabezpečenému přístupu. |
|
Globální klient zabezpečeného přístupu – Některé kanály jsou nedostupné | Klient je částečně připojený ke globálnímu zabezpečenému přístupu (to znamená, že připojení k alespoň jednomu kanálu selhalo: Entra, Microsoft 365, privátní přístup, internetový přístup). |
|
|
Globální klient zabezpečeného přístupu – Zakázáno vaší organizací | Vaše organizace zakázala klienta (to znamená, že jsou zakázané všechny profily předávání přenosů). |
|
|
Globální zabezpečený přístup – Privátní přístup je zakázaný | Uživatel na tomto zařízení zakázal privátní přístup. |
|
|
Globální zabezpečený přístup – nejde se připojit k internetu | Klient nemohl rozpoznat připojení k internetu. Zařízení je buď připojené k síti, která nemá připojení k internetu, nebo síť, která vyžaduje přihlášení k portálu v kaptivním přístupu. |
Známá omezení
Mezi známá omezení aktuální verze klienta globálního zabezpečeného přístupu patří:
Secure Domain Name System (DNS)
Klient globálního zabezpečeného přístupu v současné době nepodporuje zabezpečené DNS ve svých různých verzích, jako je DNS přes HTTPS (DoH), DNS over TLS (DoT) nebo DNS Security Extensions (DNSSEC). Pokud chcete klienta nakonfigurovat tak, aby mohl získat síťový provoz, musíte zakázat zabezpečený DNS. Pokud chcete v prohlížeči zakázat zabezpečený DNS, přečtěte si téma Zabezpečené DNS zakázané v prohlížečích.
DNS přes TCP
DNS používá port 53 UDP pro překlad ip adres. Některé prohlížeče mají vlastního klienta DNS, který podporuje také port 53 TCP. Klient globálního zabezpečeného přístupu v současné době nepodporuje port DNS 53 TCP. Jako zmírnění rizik zakažte klienta DNS prohlížeče nastavením následujících hodnot registru:
- Microsoft Edge
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000 - Chrome
[HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
Přidejte také procházeníchrome://flagsa zakázáníAsync DNS resolver.
Protokol IPv6 není podporován.
Klient tuneluje pouze provoz IPv4. Klient nezíská provoz IPv6 a proto se přenáší přímo do sítě. Pokud chcete povolit tunelování všech relevantních přenosů, nastavte upřednostněné vlastnosti síťového adaptéru na IPv4.
Náhradní připojení
Pokud dojde k chybě připojení ke cloudové službě, klient se vrátí k přímému připojení k internetu nebo blokuje připojení na základě hodnoty posílení odpovídajícího pravidla v profilu předávání.
Geografická poloha
U síťového provozu, který je tunelovaný do cloudové služby, aplikační server (web) zjistí zdrojovou IP adresu připojení jako IP adresu hraniční sítě (a ne jako IP adresu uživatelského zařízení). Tento scénář může mít vliv na služby, které se spoléhají na geografickou polohu.
Tip
Pokud chcete zjistit skutečnou zdrojovou IP adresu zařízení, zvažte povolení obnovení zdrojové IP adresy v Office 365 a Entra.
Podpora virtualizace
Klienta globálního zabezpečeného přístupu nemůžete nainstalovat na zařízení, které je hostitelem virtuálních počítačů. Klienta globálního zabezpečeného přístupu ale můžete nainstalovat na virtuální počítač, pokud klient není na hostitelském počítači nainstalovaný. Ze stejného důvodu Subsystém Windows pro Linux (WSL) nezíská provoz z klienta nainstalovaného na hostitelském počítači.
Proxy
Pokud je proxy server nakonfigurovaný na úrovni aplikace (například v prohlížeči) nebo na úrovni operačního systému, nakonfigurujte soubor PAC (Auto Configuration) proxy serveru tak, aby vyloučil všechny plně kvalifikované názvy domén a IP adresy, které očekáváte, že klient tuneluje.
Pokud chcete zabránit tomu, aby požadavky HTTP pro konkrétní plně kvalifikované názvy domén nebo IP adresy tunelovaly na proxy server, přidejte plně kvalifikované názvy domén a IP adresy do souboru PAC jako výjimky. (Tyto plně kvalifikované názvy domén a IP adresy jsou v profilu předávání globálního zabezpečeného přístupu pro tunelování). Příklad:
function FindProxyForURL(url, host) {
if (isPlainHostName(host) ||
dnsDomainIs(host, ".microsoft.com") || // tunneled
dnsDomainIs(host, ".msn.com")) // tunneled
return "DIRECT"; // If true, sets "DIRECT" connection
else // If not true...
return "PROXY 10.1.0.10:8080"; // forward the connection to the proxy
}
Pokud přímé připojení k internetu není možné, nakonfigurujte klienta tak, aby se připojil ke službě Global Secure Access přes proxy server. Například nastavte grpc_proxy systémovou proměnnou tak, aby odpovídala hodnotě proxy serveru, například http://proxy:8080.
Pokud chcete použít změny konfigurace, restartujte klientské služby windows globálního zabezpečeného přístupu.
Injektáž paketů
Klient pouze tuneluje provoz odeslaný pomocí soketů. Neprovádí tunelový provoz vložený do zásobníku sítě pomocí ovladače (například některých přenosů generovaných pomocí nástroje Network Mapper (Nmap)). Vložené pakety se přenesou přímo do sítě.
Více relací
Klient globálního zabezpečeného přístupu nepodporuje souběžné relace na stejném počítači. Toto omezení platí pro servery RDP a řešení VDI, jako je Azure Virtual Desktop (AVD), které jsou nakonfigurované pro více relací.
Arm64
Klient globálního zabezpečeného přístupu nepodporuje architekturu Arm64.
QuIC není podporován pro internetový přístup
Vzhledem k tomu, že quIC zatím není podporovaný pro Internet Access, není možné tunelovat provoz na porty 80 UDP a 443 UDP.
Tip
QuIC se v současné době podporuje v privátním přístupu a úlohách Microsoftu 365.
Správci můžou zakázat protokol QUIC, který spouští klienty, aby se vrátili k protokolu HTTPS přes protokol TCP, který je plně podporovaný v internetovém přístupu. Další informace najdete v tématu QUIC, který není podporovaný pro přístup k internetu.
Řešení problému
Pokud chcete vyřešit potíže s klientem globálního zabezpečeného přístupu, klikněte pravým tlačítkem myši na ikonu klienta na hlavním panelu a vyberte jednu z možností řešení potíží: Shromážděte protokoly nebo rozšířenou diagnostiku.
Tip
Správci mohou upravit možnosti nabídky klienta globálního zabezpečeného přístupu změnou klíčů registru klienta.
Podrobnější informace o řešení potíží s klientem globálního zabezpečeného přístupu najdete v následujících článcích:
- Řešení potíží s klientem globálního zabezpečeného přístupu: pokročilá diagnostika
- Řešení potíží s klientem globálního zabezpečeného přístupu: Karta Kontrola stavu
Klíče registru klienta
Klient globálního zabezpečeného přístupu používá k povolení nebo zakázání různých funkcí konkrétní klíče registru. Správci můžou k řízení hodnot registru použít řešení pro mobilní Správa zařízení (MDM), jako jsou Microsoft Intune nebo zásady skupiny.
Upozornění
Jiné hodnoty registru neměňte, pokud nejsou instruovány podpora Microsoftu.
Zakázání nebo povolení privátního přístupu v klientovi
Tato hodnota registru určuje, jestli je pro klienta povolený nebo zakázaný privátní přístup. Pokud je uživatel připojený k podnikové síti, může se rozhodnout obejít globální zabezpečený přístup a přímo přistupovat k privátním aplikacím.
Uživatelé můžou zakázat a povolit privátní přístup prostřednictvím nabídky hlavního panelu systému.
Tip
Tato možnost je dostupná v nabídce jenom v případě, že není skrytá (viz tlačítka nabídky Skrýt nebo zobrazit hlavní panel systému) a pro tohoto tenanta je povolený privátní přístup.
Správci můžou zakázat nebo povolit privátní přístup pro uživatele nastavením klíče registru:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
| Hodnota | Typ | Data | Popis |
|---|---|---|---|
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x0 | Na tomto zařízení je povolený privátní přístup. Síťový provoz do privátních aplikací prochází přes globální zabezpečený přístup. |
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x1 | Privátní přístup je na tomto zařízení zakázaný. Síťový provoz do privátních aplikací směřuje přímo do sítě. |
Pokud hodnota registru neexistuje, výchozí hodnota je 0x0, je povolený privátní přístup.
Skrytí nebo zobrazení tlačítek nabídky na hlavním panelu systému
Správce může v nabídce ikon na hlavním panelu klienta zobrazit nebo skrýt konkrétní tlačítka. Vytvořte hodnoty pod následujícím klíčem registru:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
| Hodnota | Typ | Data | Výchozí chování | Popis |
|---|---|---|---|---|
| HideSignOutButton | REG_DWORD | 0x0 – zobrazený 0x1 – skrytý | skryto | Nakonfigurujte toto nastavení tak, aby se zobrazila nebo skryla akce Odhlásit se. Tato možnost je určená pro konkrétní scénáře, kdy se uživatel musí přihlásit k klientovi s jiným uživatelem Entra, než který se používá k přihlášení do Windows. Poznámka: Ke klientovi se musíte přihlásit pomocí uživatele ve stejném tenantovi Entra, ke kterému je zařízení připojené. K opětovnému ověření existujícího uživatele můžete použít také akci Odhlásit se. |
| HideDisablePrivateAccessButton | REG_DWORD | 0x0 – zobrazený 0x1 – skrytý | skryto | Nakonfigurujte toto nastavení tak, aby se zobrazila nebo skryla akce Zakázat privátní přístup . Tato možnost je určená pro scénář, kdy je zařízení přímo připojené k podnikové síti a uživatel preferuje přístup k privátním aplikacím přímo přes síť místo prostřednictvím globálního zabezpečeného přístupu. |
Další informace najdete v tématu Pokyny ke konfiguraci protokolu IPv6 ve Windows pro pokročilé uživatele.